iT邦幫忙

7

ASP.NET發生重大漏洞,網站管理者權限會直接被拿走...

採用ASP.NET技術的網站開發者或是企業請注意,該漏洞非常嚴重且大規模影響到「所有使用ASP.NET技術的網站」,請盡速修正您的網站設定檔或進行相關程式的修訂。
簡單的說就是問題很嚴重,不想因為個資法被告上法院的請盡快處理該漏洞。

非網站開發技術人員可參考這邊
http://avasttw.blogspot.com/2010/09/aspnet.html

網站技術人員請參考這邊
http://blog.miniasp.com/post/2010/09/19/Security-Hack-Exposes-Forms-Authentication-in-ASPNET.aspx

MS的官方警告在這邊
http://www.microsoft.com/technet/security/advisory/2416728.mspx


0
魯大
iT邦高手 1 級 ‧ 2010-09-26 23:07:27

這個問題還真是大條耶..
有用到的人還真得好好的注意..
我記得在很多的SSL裡也是有用到AES、DES、3DES等的演算法
是否對這個也會有影響呢??

0
海綿寶寶
iT邦超人 1 級 ‧ 2010-09-27 09:56:46

我同意資訊安全很重要
不過
標題有點太重鹹了

1.原文沒提到管理者權限會直接被拿走
從POET網站和微軟公告都沒看到這樣的說法
最多只提到worker process能存取的檔案

2.原文沒提到取得原始加密金鑰
連POET網站都只提到
可以有效率地將加密後的資料解碼
沒有提到
可以反推(取得或所謂的破解)出原始的金鑰

比較有趣的一點是
因為POET的全名是Padding Oracle Exploit Tool
很多人一看到就以為是Oracle資料庫有安全漏洞
微軟還特別針對這點做澄清

0
it4win
iT邦新手 5 級 ‧ 2010-10-11 03:57:23

「加密金鑰 (MachineKey) 被猜到之後就可以讓駭客用任意身份使用你的網站或任意竄改 ViewState 中的狀態資訊。」

基於以上
所以我說管理者身分都會被拿走.

我要留言

立即登入留言